\chapter{相关法律、条例、标准}
\section{基本概念}
法律是由国家制定或认可并以国家强制力保证实施的，反映由特定物质生活条件所决定的统治阶级意志的规范体系。法律是统治阶级意志的体现，是国家的统治工具。法律是由享有立法权的立法机关行使国家立法权，依照法定程序制定、修改并颁布，并由国家强制力保证实施的基本法律和普通法律总称。法律是法典和律法的统称，分别规定公民在社会生活中可进行的事务和不可进行的事务。法律可以划分为：（1）宪法；（2）法律；（3）行政法规；（4）地方性法规；（5）自治条例和单行条例。法律是从属于宪法的强制性规范，是宪法的具体化。宪法是国家法的基础与核心，法律则是国家法的重要组成部分。\footnote{来自\url{https://baike.baidu.com/item/法律/84813}}
\par

条例是国家权力机关或行政机关依照政策和法令而制定并发布的，针对政治、经济、文化等各个领域内的某些具体事项而作出的，比较全面系统、具有长期执行效力的法规性公文。条例是法的表现形式之一。一般只是对特定社会关系作出的规定。条例是由国家制定或批准的规定某些事项或某一机关组织、职权等规范性的法律文件，也是指团体制定的章程。它具有法的效力，是根据宪法和法律制定的，是从属于法律的规范性文件，人人必须遵守，违反它就要带来一定的法律后果。\footnote{来自\url{https://baike.baidu.com/item/条例}}
\par

规章是各级领导机关及其职能部门、社会团体、企事业单位，为实施管理，规范工作、活动和有关人员行为，在其职权范围内制定并发布实施的、具有行政约束力和道德行为准则的规范性文书的总称。\footnote{来自\url{https://baike.baidu.com/item/规章/13021988}}
\par

管理制度是组织、机构、单位管理的工具，对一定的管理机制、管理原则、管理方法以及管理机构设置的规范。它是实施一定的管理行为的依据，是社会再生产过程顺利进行的保证。合理的管理制度可以简化管理过程，提高管理效率。\footnote{来自\url{https://baike.baidu.com/item/管理制度}}
\par

\section{中华人民共和国网络安全法}
《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。\par
下面是安全法中摘录的内容。\par

\vspace{1cm}
\textit{第十条 建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。}
\par
\textit{第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：}\\
\textit{（四）采取数据分类、重要数据备份和加密等措施；}
\par
\textit{第三十六条 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。}
\par

\section{中华人民共和国密码法} 
《中华人民共和国密码法》是为了规范密码应用和管理，促进密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，制定的法律。是中国密码领域的综合性、基础性法律。
《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2019年10月26日通过，自2020年1月1日起施行。\par
下面是密码法中摘录的内容。\par

\vspace{1cm}
\textit{第六条　国家对密码实行分类管理。}\par
\textit{密码分为核心密码、普通密码和商用密码。}\par
\textit{第七条　核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级。}\par
\textit{核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。}\par
\textit{第八条　商用密码用于保护不属于国家秘密的信息。}\par
\textit{公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。}\par
\textit{第九条　国家鼓励和支持密码科学技术研究和应用，依法保护密码领域的知识产权，促进密码科学技术进步和创新。}\par
\textit{国家加强密码人才培养和队伍建设，对在密码工作中作出突出贡献的组织和个人，按照国家有关规定给予表彰和奖励。}\par
\textit{第十条　国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和公务员教育培训体系，增强公民、法人和其他组织的密码安全意识。}\par
\textit{第十一条　县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划，所需经费列入本级财政预算。}\par
\textit{第十二条　任何组织或者个人不得窃取他人加密保护的信息或者非法侵入他人的密码保障系统。}\par
\textit{任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。}\par

\section{中华人民共和国反恐怖主义法}
《中华人民共和国反恐怖主义法》为了防范和惩治恐怖活动，加强反恐怖主义工作，维护国家安全、公共安全和人民生命财产安全，根据宪法制定。由中华人民共和国主席于2015年12月27日发布，2016年1月1日起施行。\par
下面是反恐怖法中摘录的内容。\par

\vspace{1cm}
\textit{第十八条 电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助。}\par
\textit{第四十八条 反恐怖主义工作领导机构、有关部门和单位、个人应当对履行反恐怖主义工作职责、义务过程中知悉的国家秘密、商业秘密和个人隐私予以保密。
违反规定泄露国家秘密、商业秘密和个人隐私的，依法追究法律责任。}\par
\textit{第八十四条 电信业务经营者、互联网服务提供者有下列情形之一的，由主管部门处二十万元以上五十万元以下罚款，并对其直接负责的主管人员和其他直接责任人员处十万元以下罚款；情节严重的，处五十万元以上罚款，并对其直接负责的主管人员和其他直接责任人员，处十万元以上五十万元以下罚款，可以由公安机关对其直接负责的主管人员和其他直接责任人员，处五日以上十五日以下拘留：}\\
\textit{（一）未依照规定为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助的；}
\par

\section{中华人民共和国电子签名法}
《中华人民共和国电子签名法》是为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益而制定的法律。
《中华人民共和国电子签名法》由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过，自2005年4月1日起施行。当前版本为2019年4月23日第十三届全国人民代表大会常务委员会第十次会议修正。\par
下面是电子签名法中摘录的内容。\par

\vspace{1cm}
\textit{第十三条电子签名同时符合下列条件的，视为可靠的电子签名：}\par
\textit{（一）电子签名制作数据用于电子签名时，属于电子签名人专有；}\par
\textit{（二）签署时电子签名制作数据仅由电子签名人控制；}\par
\textit{（三）签署后对电子签名的任何改动能够被发现；}\par
\textit{（四）签署后对数据电文内容和形式的任何改动能够被发现。}\par
\textit{当事人也可以选择使用符合其约定的可靠条件的电子签名。}\par
\textit{第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。}\par
\textit{第十五条电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。}\par
\textit{第十六条电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。}\par
\textit{第十七条提供电子认证服务，应当具备下列条件：}\par
\textit{（一）取得企业法人资格；}\par
\textit{（二）具有与提供电子认证服务相适应的专业技术人员和管理人员；}\par
\textit{（三）具有与提供电子认证服务相适应的资金和经营场所；}\par
\textit{（四）具有符合国家安全标准的技术和设备；}\par
\textit{（五）具有国家密码管理机构同意使用密码的证明文件；}\par
\textit{（六）法律、行政法规规定的其他条件。}\par


\section{国家商用密码管理条例}
《国家商用密码管理条例》是为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定本条例。条例与1999年10月7日由国务院颁布同时生效。\par
以下是条例部分内容。\par

\vspace{1cm}
\textit{第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或者个人不得生产商用密码产品。商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。}\par
\textit{第八条 商用密码产品指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。}\par
\textit{第九条 商用密码产品，必须经国家密码管理机构指定的产品质量检测机构检测合格。}\par

\textit{第十条 商用密码产品由国家密码管理机构许可的单位销售。未经许可，任何单位或者个人不得销售商用密码产品。}\par
\textit{第十一条 销售商用密码产品，应当向国家密码管理机构提出申请，并应当具备下列条件：}\par
\textit{（一）有熟悉商用密码产品知识和承担售后服务的人员；}\par
\textit{（二）有完善的销售服务和安全管理规章制度；}\par
\textit{（三）有独立的法人资格。}\par
\textit{经审查合格的单位，由国家密码管理机构发给《商用密码产品销售许可证》。}\par

\section{《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》国家标准}
2021年3月9日，《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）正式发布，并于2021年10月1日起实施。“基本要求”从行业标准上升为国家标准，是商用密码应用与安全性评估工作的重要里程碑，对促进我国密码事业发展，规范密码应用，具有重要意义。\par
密码技术作为网络安全的基础核心技术，是信息保护和网络信任体系建设的基础，是保障网络空间安全的关键技术。《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）标准，适用于指导、规范信息系统密码应用的规划、建设、运行、测评。在“基本要求”基础上，各个领域与行业可以结合本领域行业的密码应用需求来指导、规范信息系统密码应用。\par
GB/T 39786-2021标准与等保测评相衔接，定级对应等保定级，体现了对信息安全以整体的思路全方位防护的基本理念。
一下内容摘取字自标准。\par
\vspace{1cm}
\textit{本标准从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个层面提出密码应用技术要求，保障信息系统的实体身份真实性、重要数据的机密性和完整性、操作行为的不可否认性；并从信息系统的管理制度、人员管理、建设运行和应急处置四个方面提出密码应用管理要求，为信息系统提供管理方面的密码应用安全保障。}

\section{数据安全法}

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起施行。\par

数据安全法出台的大背景是，数据已经成为数字经济的核心生成资料，如何防止数据的非法采集和滥用，在保障各方合法权益的同时，又能释放数据利用的活力，形成一个合理、合法的数据生态，是数据安全法需要解决基本问题。\par

数据安全法在“第四章 数据安全保护义务”中明确指出：\par
\vspace{0.5cm}
\textit{第二十七条 开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。}\par
\vspace{0.5cm}
因为在等保中有对密码应用要求的评估项，所以数据安全法也对密码评估做出了要求。\par

数据安全法在“第二章 数据安全与发展”中对检测评估的要求：\par
\vspace{0.5cm}
\textit{第十八条 国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。}\par
\textit{国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。}\par
\vspace{0.5cm}

\section{关键信息基础设施安全保护条例}
《关键信息基础设施安全保护条例》(以下简称关基条例)在2021年4月27日的国务院第133次常务会议通过，自2021年9月1日起施行。\par

关基条例是为了保障关键信息基础设施安全，维护网络安全，其依据的上位法为《中华人民共和国网络安全法》。
\par

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
\par

首先等保要求是作用于关基上的，关基条例“第一章 总则”指出：
\par
\vspace{0.5cm}
\textit{第六条　运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。}
\par
\vspace{0.5cm}

条例中三处提及“密码”，从这里的描述我们可以看出，密码的管理部门也对关基运营者有指导的责任和义务。\par
\vspace{0.5cm}
\textit{第二十八条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。}
\par
\textit{第四十二条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。}
\par
\textit{第五十条　存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。
关键信息基础设施中的密码使用和管理，还应当遵守相关法律、行政法规的规定。}
\par
\vspace{0.5cm}